3
Standortübergreifenden Serververbindung über OpenVPN
Folgendes Problem:
ich hab 3 Server an 2 Standorten.
Die Server sind alle MS Server 2008 MS, updates von 2.7.2010
Server 1 und Server 2 stehen an Standort 1
Server 3 steht an Standort 2 (Siehe Grafik)
Beide Standorte sind per fester IP erreichbar.
An standort 1 steht eine IPFire (Linux FIrewall OS) mit openVPN als Router.
An Standort 2 ist ein openVPN Client auf dem Server 3 installiert.
An standort 1 sind die Server 1 und Server 2 in den Host Tabellen eingetragen.
An Standort 2 sind die Server 1 und Server 2 in der Host DNS Daten im Server und
im Server-DNS eingetragen.
An Standort 1 sind nur die Server 1 und Server 2 im Netzwerk.
An Standort 2 ist der Server 3 Bestandteil des Netzwerkes in dem alle arbeiten.
Server 3 baut beim Hochfahren eine Verbindung übers internet per openVPN zur IPfire an Standort 1 auf und bezieht dort eine IP per DHCP.
openVPN-DNS wird auf P-DNS "Server 1" und auf S-DNS "IPFire" gesetzt.
Autifizierung nur übers Zertifikat, kein Passwort damit die Verbindung beim Hochfahren nicht blockiert wird.
Der Ping von dem Server 3 zum Server 1 funktioneirt, zum Server 2 nicht.
Bei beiden ist Ping in der Firewall zugelassen.
Server 3 soll sich zur IPFire verbinden und so Bestandteil des Netzwerkes an Standort 1 werden.
Das AD soll sich dann replicieren und eine Standort übergreifende Domain bilden.
Dieses funktioniert auch nach dem Neustart von Server 3 eine Zeit lang.
Irgendwann bricht dann anscheinend die Verbindung ab und kann nicht wieder von allein hergestellt werden.
OpenVPN auf dem Server 3 zeigt jedoch eine aktive verbindung an.
Nun ist das problem das dieses aus irgendwelchen Gründen nicht richtig läuft.
Jemand ne Idee wo man ansetzen kann?
Oder weis einer von euch wie man standort übergreifen Server mit Microsoft Bordmitteln verbindet?
ich hab 3 Server an 2 Standorten.
Die Server sind alle MS Server 2008 MS, updates von 2.7.2010
Server 1 und Server 2 stehen an Standort 1
Server 3 steht an Standort 2 (Siehe Grafik)
Beide Standorte sind per fester IP erreichbar.
An standort 1 steht eine IPFire (Linux FIrewall OS) mit openVPN als Router.
An Standort 2 ist ein openVPN Client auf dem Server 3 installiert.
An standort 1 sind die Server 1 und Server 2 in den Host Tabellen eingetragen.
An Standort 2 sind die Server 1 und Server 2 in der Host DNS Daten im Server und
im Server-DNS eingetragen.
An Standort 1 sind nur die Server 1 und Server 2 im Netzwerk.
An Standort 2 ist der Server 3 Bestandteil des Netzwerkes in dem alle arbeiten.
Server 3 baut beim Hochfahren eine Verbindung übers internet per openVPN zur IPfire an Standort 1 auf und bezieht dort eine IP per DHCP.
openVPN-DNS wird auf P-DNS "Server 1" und auf S-DNS "IPFire" gesetzt.
Autifizierung nur übers Zertifikat, kein Passwort damit die Verbindung beim Hochfahren nicht blockiert wird.
Der Ping von dem Server 3 zum Server 1 funktioneirt, zum Server 2 nicht.
Bei beiden ist Ping in der Firewall zugelassen.
Server 3 soll sich zur IPFire verbinden und so Bestandteil des Netzwerkes an Standort 1 werden.
Das AD soll sich dann replicieren und eine Standort übergreifende Domain bilden.
Dieses funktioniert auch nach dem Neustart von Server 3 eine Zeit lang.
Irgendwann bricht dann anscheinend die Verbindung ab und kann nicht wieder von allein hergestellt werden.
OpenVPN auf dem Server 3 zeigt jedoch eine aktive verbindung an.
Nun ist das problem das dieses aus irgendwelchen Gründen nicht richtig läuft.
Jemand ne Idee wo man ansetzen kann?
Oder weis einer von euch wie man standort übergreifen Server mit Microsoft Bordmitteln verbindet?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146397
Url: https://administrator.de/contentid/146397
Printed on: April 16, 2024 at 23:04 o'clock
3 Comments
Latest comment
Als allererstes musst du mal klären ob dir deine VPN Verbindung wirklich abbricht oder nicht. Dazu solltest du mal einen Dauerping laufen lassen von Server 3 auf Server 1 oder 2. Das ist wichtig um die Ursache des Problems zu finden !
Komisch ist auch das Server 3 nicht pingbar ist vom Standort 1. Normal ist das nicht und zeugt von einem Routingproblem oder einem Problem in der OpenVPN Konfig.
Besser wäre wenn du den Router an Standort 2 (denn du wirst ja hoffentlich NICHT den Server 3 ohne NAT Router direkt ins Internet exponiert haben ?!) auch mit OpenVPN ausrüstest und die beiden Router die OpenVPN Verbindung herstellen lässt. Damit hast du dann eine permanente und transparente OpenVPN Verbindung über die Router selber vollkommen unabhängig von deinen Servern.
Die Server sehen dann nur ein normal geroutetes Netzwerk zwischen Standort 1 und 2.
Das ist erheblich besser aus Netzwerk Sicht und auch der generell Weg wie man eine LAN zu LAN Kopplung macht.
Wie gesagt an Standort 2 besser einen Router mit OpenVPN Client einsetzen.
Das kann eine Monowall, Pfsense oder ein DD-WRT Router sein...oder auch eine 2te IPFire.
Anregungen für so ein Konzept findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dort kannst du auch gleich eine korrekte OpenVPN Server und Client Konfig sehen.
Komisch ist auch das Server 3 nicht pingbar ist vom Standort 1. Normal ist das nicht und zeugt von einem Routingproblem oder einem Problem in der OpenVPN Konfig.
Besser wäre wenn du den Router an Standort 2 (denn du wirst ja hoffentlich NICHT den Server 3 ohne NAT Router direkt ins Internet exponiert haben ?!) auch mit OpenVPN ausrüstest und die beiden Router die OpenVPN Verbindung herstellen lässt. Damit hast du dann eine permanente und transparente OpenVPN Verbindung über die Router selber vollkommen unabhängig von deinen Servern.
Die Server sehen dann nur ein normal geroutetes Netzwerk zwischen Standort 1 und 2.
Das ist erheblich besser aus Netzwerk Sicht und auch der generell Weg wie man eine LAN zu LAN Kopplung macht.
Wie gesagt an Standort 2 besser einen Router mit OpenVPN Client einsetzen.
Das kann eine Monowall, Pfsense oder ein DD-WRT Router sein...oder auch eine 2te IPFire.
Anregungen für so ein Konzept findest du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dort kannst du auch gleich eine korrekte OpenVPN Server und Client Konfig sehen.
Wie weiße ich dem OpenVPN-Client eine feste IP zu?
Diese sollte vom OVPN-Server zugewießen werden.
Meines Wissens müssen die IP-Adressen des Gateway und des Clients nebeneinander liegen (8er Netz).
Doch wie trage ich dann z.B. mehrere Clients ein?
zum beispiel:
Client 1 bekommt ip 10.1.10.1 & Gateway 10.1.10.2
was bekommt dann Client 2?
10.1.10.3 und das Gateway 10.1.10.4? oder kommt das Gateway dann die 10.1.10.2?
Diese sollte vom OVPN-Server zugewießen werden.
Meines Wissens müssen die IP-Adressen des Gateway und des Clients nebeneinander liegen (8er Netz).
Doch wie trage ich dann z.B. mehrere Clients ein?
zum beispiel:
Client 1 bekommt ip 10.1.10.1 & Gateway 10.1.10.2
was bekommt dann Client 2?
10.1.10.3 und das Gateway 10.1.10.4? oder kommt das Gateway dann die 10.1.10.2?
Nein, das ist egal was du für ein Netzwerk am Server verwendest ! Das muss kein Netz mit einer 8 Bit Subnetzmaske sein, es geht genauso gut auch andere Masken wie z.B.:
server 172.16.2.0 255.255.255.0 oder
server 10.100.200.0 255.255.255.0
usw. in der Server Konfig.
Die 8 Bit Maske steht immer nur in den Beispielen und viele Laien denken dann immer so und nicht anders muss es sein...ist aber Blödsinn.
Allerdings limitiert die Maske dir natürlich logischerweise die Anzahl der Clients. Mit einer 24 Bit Maske im Server netz kannst du dann nur maximal 253 Clients adressieren. Mit einer 8er Maske wären 16.777.214 Clients möglich...eine eher theoretische Zahl.
Das mit der Fixierung der OpenVPN Server IP auf einer 8 Bit Maske ist also Unsinn...steht auch so in der OpenVPN Doku.
Die Gateway IP Adresse ist immer fest, denn das ist die Server OpenVPN Adresse die in der OpenVPN Server Konfig festgelegt ist. Die ist bei allen Clients IMMER gleich !
Der Server vergibt den Clients dann fortlaufend dynamische IP Adressen aus diesem Bereich. Das kannst du auch ganz einfach mal selber überprüfen indem du auf dem Client nach erfoltem OpenVPN Tunnelaufbau einmal das Kommando ipconfig eingibst oder route print. Dort siehst du dann die dynamisch zugewiesen Client IP am OpenVPN Tunnelinterface und auch korrespondierend dazu die OpenVPN Serveradresse des Tunnels !!
Den Clients kann man auch feste IP Adressen zuweisen. Wie das geht steht in diesem Thread:
OpenVPN unter Windows begrenzung anhand des Subnetzes 255.255.255.252 ?
Generell ist das aber vollkommen unnötig in einem Szenario wie dem deinen.
Wichtig ist dort nur das die IP Netze in Standort 1 und Standort 2 sowie dem OpenVPN Servernetz eigene IP Netze sind die sich nicht überschneiden dürfen !!
Siehe o.a. Tutorial !
server 172.16.2.0 255.255.255.0 oder
server 10.100.200.0 255.255.255.0
usw. in der Server Konfig.
Die 8 Bit Maske steht immer nur in den Beispielen und viele Laien denken dann immer so und nicht anders muss es sein...ist aber Blödsinn.
Allerdings limitiert die Maske dir natürlich logischerweise die Anzahl der Clients. Mit einer 24 Bit Maske im Server netz kannst du dann nur maximal 253 Clients adressieren. Mit einer 8er Maske wären 16.777.214 Clients möglich...eine eher theoretische Zahl.
Das mit der Fixierung der OpenVPN Server IP auf einer 8 Bit Maske ist also Unsinn...steht auch so in der OpenVPN Doku.
Die Gateway IP Adresse ist immer fest, denn das ist die Server OpenVPN Adresse die in der OpenVPN Server Konfig festgelegt ist. Die ist bei allen Clients IMMER gleich !
Der Server vergibt den Clients dann fortlaufend dynamische IP Adressen aus diesem Bereich. Das kannst du auch ganz einfach mal selber überprüfen indem du auf dem Client nach erfoltem OpenVPN Tunnelaufbau einmal das Kommando ipconfig eingibst oder route print. Dort siehst du dann die dynamisch zugewiesen Client IP am OpenVPN Tunnelinterface und auch korrespondierend dazu die OpenVPN Serveradresse des Tunnels !!
Den Clients kann man auch feste IP Adressen zuweisen. Wie das geht steht in diesem Thread:
OpenVPN unter Windows begrenzung anhand des Subnetzes 255.255.255.252 ?
Generell ist das aber vollkommen unnötig in einem Szenario wie dem deinen.
Wichtig ist dort nur das die IP Netze in Standort 1 und Standort 2 sowie dem OpenVPN Servernetz eigene IP Netze sind die sich nicht überschneiden dürfen !!
Siehe o.a. Tutorial !
